XCSSET Mac 恶意软件：攻击 Xcode 项目、Safari 等浏览器

我们发现开发人员的Xcode项目总体上包含了源恶意软件，这导致了恶意payloads的小孔。我们的调查中最值得注意的是发现了两个零时差漏洞：一个漏洞是通过Data Vaults行为的缺陷来窃取Cookie的，另一个漏洞是滥用Safari的开发版本的。

在这种情况下，会将恶意代码注入到本地Xcode项目中，以便在构建项目时运行恶意代码。这尤其对Xcode开发人员构成了风险。由于我们已经确定受影响的开发人员在GitHub上共享了他们的项目，因此威胁不断升级，从而导致对依赖这些存储库作为自己项目依赖项的用户的供应链攻击。

通过Xcode项目和由恶意软件创建的恶意修改，目前还不清楚威胁最初是如何进入这些系统的。这些系统将主要由开发人员使用。这些Xcode项目被修改，会运行恶意代码。这最终导致主要的XCSSET恶意软件被删除并在受影响的系统上运行。受感染的用户还容易被盗取其凭据，帐户和其他重要数据。

一旦出现在受影响的系统上，XCSSET就会具有以下行为：

• 利用漏洞利用，它滥用了现有的Safari和其他已安装的浏览器来窃取用户数据。尤其是
  • 使用漏洞读取和转储Safari cookie
  • 使用Safari开发版本通过通用跨站点脚本（UXSS）攻击将JavaScript后门注入网站
• 从用户的Evernote，Notes，Skype，Telegram，QQ和微信应用程序窃取信息
• 获取用户当前屏幕的屏幕截图
• 将文件从受影响的计算机上载到攻击者的指定服务器
• 如果服务器命令，将加密文件并显示赎金记录

从理论上讲，UXSS攻击能够将用户浏览器的几乎所有部分修改为注入JavaScript的任意代码。这些修改包括：

• 修改显示的网站
• 修改/替换比特币/加密货币地址
• 窃取amoCRM，Apple ID，Google，Paypal，SIPMarket和Yandex凭据
• 从Apple Store窃取信用卡信息
• 阻止用户更改密码，但也窃取新修改的密码
• 捕获某些已访问站点的屏幕截图

受影响的开发人员将受感染的Xcode项目不经意地将恶意木马分发给他们的用户，验证分发的文件的方法（例如检查哈希值）将无济于事，因为开发人员将不会意识到他们正在分发恶意文件。

Indicators of Compromise